از همان ابتدای شروع حرفهای استفاده از سیستمهای نرمافزاری، طراحان و برنامه نویسان برای انجام امور نگهداری نرمافزار، از کدها و درگاههای خاصی استفاده میکردند.
درب مخفی چیست؟
از همان ابتدای شروع حرفهای استفاده از سیستمهای نرمافزاری، طراحان و برنامهنویسان برای انجام امور نگهداری نرمافزار، از کدها و درگاههای خاصی استفاده میکردند.
این درگاهها فقط مخصوص برنامهنویسان بوده و کاربران از آن بیاطلاع بودند.
با گسترش و توسعه سیستمهای ارتباطی و نرمافزاری، این بخشها نیز تکامل پیدا کرده است.
در دنیای امروز استفاده از این روشها تنها برای نگهداری نرمافزارها نیست! بلکه کاربردهای امنیتی و دسترسی به اطلاعات دیگران را نیز پیدا کرده است.
در برخی موارد حتی هکرها، علاوه بر روشهای خاص خود، با استفاده از این درگاههای از قبل تعریف شده اقدام به دسترسی به اطلاعات میکنند! اینگونه درگاههای تعریف شده را “درب مخفی” مینامند.
شایان ذکر است که درب مخفی علاوه بر امکان دسترسی و استفاده غیر مجاز از اطلاعات، امکان تخریب و تغییر اطلاعات را نیز فرآهم میآورد.
وجود درب مخفی در هر نرمافزاری امکانپذیر است. پارامترهایی که در این مقاله به آنها پرداخته شده است، میتواند در ارزیابی و مدیریت ریسک استفاده از نرمافزارهای امنیتی کاربرد داشته باشد.
نرمافزارهای امنیتی و درب مخفی
در این گروه از سیستمها، اطمینان از نداشتن درب مخفی برای استفادههای غیر مجاز و تخریب اطلاعات، اهمیت بیشتر پیدا میکند.
به قول معروف “هرچه بگندد نمکش میزنند وای به روزی که نمک بگندد!”
حال سوال ایناستکه : چگونه میتوان به وجود درب مخفی در یک نرمافزار امنیتی پی برد؟
آیا اصولا چنین امری امکانپذیر است؟ پاسخ این سوال چندان ساده و ممکن نیست!
برخی روشهای فنی در این خصوص وجود دارد که البته پاسخ روشن و صریحی در بر نخواهند داشت.
پیشرفت و پیچیدگی سیستمهای نرمافزاری و ارتباطی سبب شده تا نتوان از لحاظ فنی پاسخ قاطعی ارائه کرد.
حتی با قطع تمام سیستمهای ارتباطی به اینترنت باز هم نمیتوان از این مهم غافل بود، نیاز به بروزرسانی، رفع خطاهای نرمافزاری و لزوم تهیه پشتیبان از اطلاعات، همگی میتوانند در کپیبرداری و یا تخریب اطلاعات مورد استفاده قرار گیرند.
سابقه چنین مواردی برای تخریب اطلاعات در کشور وجود دارد!
حال که نمیتوان از لحاظ فنی پاسخ قاطعی داشت، آیا استفاده از نرمافزارهای امنیتی را بایستی فراموش کرد؟
پیچیدگی امور و نیازهای متنوع سبب شده تا استفاده از نرمافزارهای امنیتی اجنتابناپذیر باشد. میزان ریسک و خطرپذیری هر سیستمی متفاوت است و بایستی این مهم بهصورت کارشناسی مورد بررسی قرار گیرد.
نرمافزارهای مدیریت منابع تصاویر
رشد و نیاز روز افزون استفاده از دوربینهای مداربسته در کشور، استفاده از سیستمهای مدیریت منابع تصویر را الزامی نموده است.
پس از بررسی پارامترهای کلی شامل تعریف موارد امنیتی و منابع خرید در یک سیستم مدیریت منابع تصویری برای دوربینهای مداربسته، یک جمعبندی کلی، که میتواند برای تصمیمگیری مورد استفاده قرار گیرد، ارائه خواهد شد.
پارامترهای امنیتی در استفاده از نرمافزارهای مدیریت منابع تصویر را میتوان بهصورت زیر دستهبندی نمود:
شایان ذکر است موارد ارائه شده، بهصورت کلی مطرح شدهاند و بهطور مسلم از دیدگاههای گوناگون میتوان پارامترهای دیگری را نیز در نظر گرفت.
۱- نحوه نصب نرمافزار (و غیرفعالسازی)
۱) با استفاده از اینترنت و بهطور مستقیم
۲) نصب توسط کاربر بهصورت محلی پس از دانلود از اینترنت
۳) نصب توسط کاربر بهصورت محلی از یک مدیای ارائه شده نظیر CD
۴) از قبل نصب شده مانند NVRها
۲- منابع سختافزاری
۱) بهصورت کنترل شده توسط کمپانی شامل دوربین و سایر تجهیزات
۲) بهصورت آزاد و توسط کاربر
۳- بهروزرسانی نرمافزار
۱) مستقیم از اینترنت
۲) بهطور غیر مستقیم از اینترنت (دانلود و سپس انتقال به سیستم)
۳) ارسال بر روی مدیا نظیر CD یا Flash Memory
۴) توسط کمپانی
۴- پشتیبانی نرمافزار
۱) مستقیم از اینترنت با دسترسی به سیستم
۲) بهطور غیر مستقیم از اینترنت
۳) ارسال بر روی مدیا نظیر CD یا Flash Memory
هر سازمانی با توجه به محیط کاری و شرایط اختصاصی خود، قادر به امتیازدهی به هر سیستمی براساس پارامترهای فوق است.
ولی آیا هر سازمانی بایستی با صرف وقت و هزینه زیاد نسبت به انجام این ارزیابی اقدام نماید؟ بطور قطع و یقین پاسخ منفی است.
روشهای گوناگونی برای کاهش و اجرایی نمودن این امر وجود دارد، بهعنوان مثال مراکز تصمیمگیری در کشور میتوانند با انجام این مهم و معرفی سیستمها در راستای پاسخ به پرسش فوق حرکت کنند.
جغرافیای سیاسی منابع خرید
اگر به شرایط فعلی بازار کشور و سیستمهای نرمافزارهای مدیریت منابع تصویر موجود در کشور توجه کنیم، میتوان منابع را به روش ذیل دستهبندی نماییم.
۱) سیستمهای تولید شده در اروپا، امریکای شمالی و استرالیا نظیرMilestone, Genetec, و Digifort
۲) سیستمهای تولید شده در روسیه و اروپای شرقی نظیر Axxon
۳) سیستمهای تولید شده در شرق دور شامل ژاپن، چین و تایوان نظیر QNAP
۴) سیستمهای تولید شده در ایران براساس استفاده از Open Sourceهای موجود در اینترنت
۵) سیستمهای تولید شده در ایران از پایه و بدون وابستگی خارجی نظیر شیردال
این دستهبندی به هیچ عنوان مربوط به ارزیابی قابلیتهای فنی نیست و تنها حوزه جغرافیایی و سیاسی منبع خرید مد نظر است.
شرایط فرهنگی، سیاسی، اجتماعی و اقتصادی هر کشوری اقتضا میکند تا در استفاده از منابع مورد نیاز، علاوه بر مفاهیم فنی و اجرایی به ماهیت سیاسی و جغرافیایی منابع نیز توجه ویژه شود.
سوال: چگونه است کشورهایی که از فروش دارو و غذا و یا حتی تجهیزات بسیار ساده صنعتی به ایران، جلوگیری بهعمل میآورند ولی نرمافزارهای امنیتی آنها بهراحتی در کشور در دسترس قرار دارد؟
چگونه است که بدون اعطای نمایندگی مستقیم بهدلیل تحریمها! براحتی این نرمافزارها در کشور به فروش رفته و بهروز رسانی و پشتیبانی میشوند؟
ثبت بهنام شرکتهای نامعلوم در کشورهای همسایه، یک توجیه کاملاً غیر امنیتی و حتی غیر منطقی برای این موارد است!
در خبرها میخوانیم که افرادی برای صدور پمپ آب به ایران به بهانه چند کاربره بودن، در کشورهای غربی به زندان رفتهاند! حال چگونه است نرمافزارهای امنیتی همان کشورها بهراحتی در کشور بهفروش میرسد! واقعاً چرا؟!!
در مقوله امنیتی سخن میگوییم و فقط منافع اقتصادی نمیتواند مدنظر باشد، چرا که بسیاری کالاهای پرمصرف وجود دارد که براحتی نرمافزارهای امنیتی قابل دسترس در کشور نیستند!
در برخی نرمافزارها حتی مشخصات دوربین را به کمپانی اصلی برای ثبت و فعالسازی اعلام میکنند!
در بسیاری موارد بروزرسانی از طریق اینترنت انجام میشود.
چگونه میشود به کشورهایی که تحریمهای وسیع اقتصادی و سیاسی بر علیه کشور اعمال نمودهاند، در مقوله امنیت اعتماد کرد؟!
در برخی موارد مشاهده شده است که سازمانها، بدلایل فنی استفاده از منابع داخلی را مجاز نمیدانند!
سازمانی که تا کنون سیستمی جامع نداشته، در حال حاضر اصرار دارد که در کمتریین زمان ممکن، بهترین محصول موجود در دنیا را داشته باشد!
البته این کمالگرایی فنی قابل تقدیر است، ولی به چه قیمتی؟!
آیا اگر فرض کنیم که محصولات خارجی از معادل داخلی خود بهتر هستند، که همواره اینگونه نیست، استفاده از یک سیستم مطمئن داخلی که بخش عمدهای از نیازها را پوشش میدهد بهتر از بکارگیری یک سیستم نامطمئن خارجی نیست؟!
چند مورد امنیتی که میتواند در نرمافزارهای خارجی و حتی Open Sourceها وجود داشته باشد عبارتند از: (موارد ذیل مشتی از خروار است!)
۱- دسترسی به اطلاعات هر سازمان برای شناسایی افرادیکه در آن سازمان رفت و آمد دارند.
۲- قرار دادن تصویر اشخاص مهم بصورت کد شده در نرمافزار و استفاده از تکنیکهای خاص برای شناسایی آنان
۳- حساس بودن نسبت به برخی متون و علائم در سازمانها و مراکز مختلف
۴- دستکاری تصاویر و Log File برای ارائه اطلاعات نادرست به دستاندرکاران
۵- برنامهریزی زمانی مخفی برای فعال یا غیر فعال شدن بخشهایی از نرمافزار
۶- استفاده از انواع ویروس برای حمله سایبری به کشور
۷- استفاده از علائم خاص برای غیرفعال نمودن آلارمها توسط افراد نفوذی و غیرمجاز
۸- . . . . . . .
در خصوص نرمافزارهای مبتنی بر Open Source ذکر چند نکته حایز اهمیت است:
– کلیه اشکالات فوق حتی در برخی موارد شدیدتر در اینگونه سیستمها وجود دارد، بعنوان مثال حفرههای امنیتی بهراحتی در اینگونه سیستمها وجود دارد، چرا که Source در اختیار عموم است
– آیا ارائه دهنده اخلاق حرفهای در خصوص استفاده از نرمافزار Open Source را رعایت نموده است؟
چرا که در اینصورت بایستی تغییرات احتمالی خود را نیز برای عموم ارائه کند که خود معضل امنیتی بزرگی است!
حال اگر اینکار را انجام نداده چگونه میتوان به سیستمی که اخلاق و اصول حرفهای را فدای سودجویی نموده اعتماد کرد؟!
در سیستمهای Open Source یکی از مشکلات متداول وجود کدهای برنامهنویسی اضافی است که توسط افراد مختلف در سیستم تعبیه شده است.
حال اگر در بهترین حالت فرض کنیم حفره امنیتی ندارد، حجم سنگین برنامه و احتمال وجود اشکالات نرمافزاری متعدد، که در زمان خود را نشان میدهند، حتمی است.
خوشبختانه در طی دهه گذشته استفاده از نرمافزارهای ایرانی در بسیاری از سازمانها و مراکز مورد توجه قرار گرفته است و امروزه شاهد پیشرفت چشمگیر صنعت نرمافزار در حوزههای مختلف شامل بانکداری، بورس، محاسبات مهندسی، سینما، رادیو و تلویزیون، مدیریت اطلاعات، اتوماسیون اداری و صنعتی، نرمافزارهای پزشکی و بیمارستانی، کتابداری و کتابخانه، آرشیو و نگهداری اطلاعات، فروش و بازاریابی مجازی، بازیها رایانهای، رزرواسیون و فروش آنلاین، ارتباطات و نقل و انتقال دادهها، دیواره آتش، ضدویروس، موارد امنیتی و اطلاعاتی در خصوص شناسایی افراد، پاسپورت، کارتهای هوشمند، کارت ملی و نظایر آنها هستیم.
این پیشرفت مدیون همت بلند مدیران وکارشناسان داخلی است که با توجه ویژه به مقوله نرمافزار در کشور بدست آمده است.
دانش علمی و فنی و تجربه عملی در خصوص سیستمهای پردازش تصاویر و بانکهای اطلاعاتی همراه با آگاهی و تسلط به مقولههای امنیتی، پایه اصلی در طراحی و پیادهسازی سیستمهای امنیتی است.
این شرکت با بیش از ۵۰ سال مجموع تخصص و تجربه مدیران و کارشناسان خود در زمینههای فوقالذکر و به منظور برآورده نمودن نیاز کشور از دو سال پیش اقدام به سرمایهگذاری، بررسی، طراحی و برنامهنویسی سیستم جامع امنیتی برای دوربینهای مدار بسته نموده است.
امروز مفتخریم که اعلام کنیم نرمافزار “شیردال” با بهرهگیری از منابع و توان داخلی تولید و ارائه شده است.
ساختار این نرمافزار براساس استفاده از لینوکس و سیستم عامل ملی طراحی شده است و بصورت یک ساختار باز امکان توسعه و اتصال به سایر سیستمها را دارد.
نرمافزارهای تکمیلی آنالیز تصاویر با نام “سورنا” توسط همین مجموعه در حال اتمام و ارائه است که در اینصورت ترکیب قوی و مناسبی ایجاد خواهد شد.
برنامهریزی این شرکت براساس توسعه این سیستمها و در نهایت داشتن یک نرمافزار جامع امنیتی (PSIM) ظرف دو سال آینده است.
امید است با حمایت و نظارت منطقی از اینگونه نرمافزارها در کشور، علاوه بر داشتن سیستمهای امنیت ملی، شاهد شکوفایی اقتصادی و ایجاد مشاغل درآمدزا و دایم در کشور باشیم.
کلیک کنید تا متن کامل این مقاله را به صورت فایل pdf دریافت کنید.
Visits: 14
دیدگاه ها